6.1 知识子域:安全评估基础
6.1.1 安全评估概念
1.安全评估基本概念
安全评估也称作安全风险评估,是针对资产潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程
风险评估工作包括以下方面
确定保护的对象是什么?它们的直接和间接价值是什么?
资产面临哪些威胁?威胁类型及存在原因?可能性有多大?
资产中存在哪些弱点可能会被威胁所利用?利用的难易程度如何?
一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
组织应该采取怎样的安全措施才能将风险带来的损失降到最低程度
2.安全评估的价值
(1)信息安全风险评估是信息安全建设的起点和基础
分析其在保密性、完整性、可用性等方面所面临的风险,揭示组织机构的风险状况并提出改进风险状况的建议的工作
(2)信息安全风险评估是信息安全建设和管理的科学方法
信息系统的安全性取决于系统的资产、脆弱性、威胁、已有措施等多种安全要素,取决于这些要素之间的关系以及与系统环境的关系
风险评估是一种理论与实践相结合的工作方法
(3)风险评估实际上是在倡导一种适度安全
(4)保护网络空间安全的核心要素和重要手段
3.安全评估工具
风险评估的工具可以分成风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具 3 类
(1)风险评估与管理工具
综合类工具
根据实现方法的不同,风险评估与管理工具可以分为 3 类:基于信息安全标准的风险评估与管理工具,基于知识的风险评估与管理工具和基于模型的风险评估与管理工具
(2)系统基础平台风险评估工具
基于特定厂商或产品的工具
此类工具包括脆弱性扫描工具和渗透性测试工具
(3)风险评估辅助工具
专项工具
风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据
6.1.2 安全评估标准
1.安全评估标准的发展
信息技术安全通用评估准则,简称 CC 标准
2.可信计算机系统评估标准(TCSEC)
可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,TCSEC)是美国政府国防部(Department of Defense,DoD)标准
(1)基本目标和要求
TESEC 基本目标和要求包括策略、问责、保证和文档
(2)分级
TCSEC 通过分级的方式建立评价指标,其定义了 4 个级别:D(最小保护)、C(选择保护)、B(强制保护)和 A(验证保护),其中 A 级具有最高的安全性
3.信息技术安全评估标准(ITSEC)
信息技术安全评估标准(Information Technology Security Evaluation Criteria,ITSEC)
将安全概念分为功能与功能评估两部分
ITSEC 提出评估对象(TOE)的概念,评估对象分产品和系统两大类
4.信息技术安全评估通用标准(CC)
信息技术安全评估通用标准(Common Criteria for Information Technology Security Evaluation)简称通用标准或 CC,是计算机安全认证的国际标准(ISO/IEC 15408)
CC 是最全面的信息技术安全评估准则
CC 充分突出了 ”保护轮廓“ 这一概念,将评估过程分”功能“和”保证“两部分
5.信息技术安全性评估准则(CC)
《信息技术安全性评估准则》是我国在2008年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技术安全评估标准》形成的国家标准,标准编号为 GB/T 18336
(1)通用准则的结构
GB/T 18336.1——2008 介绍和一般模型
GB/T 18336.2——2008 安全功能要求
GB/T 18336.2——2008 安全保证要求
评估保证级 EAL
(2)目标读者
有 3 类最关心 IT 产品和系统安全性评估的人员,分别是 TOE 客户、TOE 开发者和 TOE 评估者
(3)关键概念
评估对象(TOE)
评估对象(Target of Evaluation,TOE)
保护轮廓(PP)
保护轮廓(Protection Profile,PP)是满足特定用户需求的、一类的 TOE 的、一组与实现无关的安全需求
它应包括一个评估保证级(EAL)
安全目标(ST)
安全目标(Security Target,ST)是作为一个既定 TOE 的评估基础使用的一组安全要求和规范
ST 是所有的相关各方对 TOE 提供什么样的安全性达成一致的基础
功能
功能(Function)是规范 IT 产品和系统的安全行为,应作的事。CC 是以类、族、组件作为组织结构,来描述功能要求内容和保证要求内容的
保证
保证(Assurance)是实体达到其安全性目的的信任基础。保证是对功能产生信息的方法
包
包(Package)是为满足一组确定的安全目的而组合在一起的,一组可重用的功能或保证组件
补丁包、插件包
评估保证级(EAL)
评估保证级(Evaluation Assurance Level,EAL)
评估保证级包含 7 个界别
(4)使用 CC 进行评估的基本过程
评估相关要素
评估流程
评估分 PP 评估、ST 评估和 TOE 评估
当某个 ST 宣称与一个 PP 一致时,证明该 ST 完全满足该 PP 的要求
(5)通用评估方法(CEM)
6.信息系统安全等级保护评测标准
6.2 知识子域:安全评估实施
6.2.1 风险评估相关要素
1.资产
资产在保密性、完整性和可用性这 3 个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的
(1)资产类型
有形资产
无形资产
(2)资产分类
根据资产的表现形式,可将资产分为数据、软件、硬件、服务、人员等类型
2.威胁
可能导致对系统或组织危害事故的潜在原因
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述
3.脆弱性
可能被威胁所利用的资产或若干资产的薄弱环节
威胁总是要利用资产的脆弱性才可能造成危害
脆弱性识别主要从技术和管理两个方面进行
技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题
管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关
4.信息安全风险
5.安全措施
常见的安全措施有预防性、检测性和纠正性 3 类
6.残余风险
7.风险评估各要素的关系
6.2.2 风险评估途径与方式方法
1.风险评估途径
(1)基线评估(Baseline Risk Assessment,BRA)
(2)详细评估
(3)组合评估
采用基于基线评估与详细评估两者之间的评估方式
2.风险评估方式
(1)自评估
由组织自身发起
自评估可由发起方实施或委托风险评估服务技术支持方实施
(2)检查评估
由被评估组织的上级主管机关或业务主管机关发起
检查评估时强制性的检查活动
检查评估也可委托风险评估服务技术支持方实施
要对实施检查评估机构的资质进行严格管理
3.风险评估方法
(1)基于知识的分析方法
(2)定量分析
风险评估的整个过程和结果都可以被量化
首先识别资产并为资产赋值,然后通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即 EF (取值为 0% ~ 100%)
暴漏因子 EF
单一预期损失 SLE
SLE = EF * 资产价值
年度预期损失 ALE
ALE = SLE * 年度发生率(ARO)
(3)定性分析
需要凭借分析者的经验和直觉,或业界的标准和管理,为风险诸要素的大小或高低程度定性分级,定性分析更具主观性
(4)定性与定量分析的区别
6.2.3 风险评估基本过程
1.风险评估准备
风险评估实施前需要做七个工作
(1)确定风险评估的目标
(2)确定风险评估的范围
(3)组建适当的评估管理与实施团队
(4)进行系统调研
(5)确定评估依据和方法
如定性风险分析、定量风险分析、或是半定量风险分析
(6)制订风险评估方案
(7)获得最高管理者对风险评估工作的支持
2.风险识别
(1)资产识别
资产识别包括对组织机构资产分类、分级、形态及资产价值的评估
资产分类与登记
资产清单作为资产登记的重要输出
识别资产的有效手段是资产清单
资产赋值
保密性赋值
完整性赋值
可用性赋值
重要性赋值
资产评估原则
独立性原则
客观公正性原则
科学性原则
(2)威胁识别
判断威胁出现的频率是威胁赋值的重要内容
(3)脆弱性识别
(4)确认已有的控制措施
确认已有的安全措施,需要依据背景建立阶段输出的 3 个报告,即《信息系统的描述报告》《信息系统的分析报告》《信息系统的安全要求报告》来确认已有的安全措施,包括技术层面(物理平台、系统平台、网路平台和应用平台)的安全功能、组织层面(组织结构、岗位和人员)的安全控制和管理层面(策略、规章和制度)的安全对策,形成《已有安全措施列表》
3.风险分析
风险计算原理可以用下面的范式形式化地加以说明:
风险值=R(A, T, V)=R(L(T, V),F(Ia, Va))
R 表示安全风险计算函数
A 表示资产
T 表示威胁
V 表示脆弱性
Ia 表示安全事件所作用的资产价值
Va 表示脆弱性严重程度
L 表示威胁利用资产的脆弱性导致安全事件的可能性
F 表示安全事件发生后造成的损失
(1)计算安全事件发生的可能性
安全事件的可能性=L(威胁出现的频率,脆弱性)=L(T, V)
(2)计算安全事件发生后造成的损失
安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia, Va)
(3)计算风险值
风险值=R(安全事件的可能性,安全事件造成的损失)=R(L(T, V), F(Ia, Va))
4.风险结果判定
(1)评估风险的等级
依据《风险计算报告》,根据已经制定的风险分级准测,对所有风险计算结果进行等级处理,形成《风险程度等级列表》
(2)综合评估风险状况
需要汇总各项输出文档和《风险程度等级列表》,综合评价风险状况,形成《风险评估报告》
5.风险处理计划
6.残余风险评估
6.2.4 风险评估文档
6.3 知识子域:信息系统审计
6.3.1 审计原则与方法
1.审计职能
(1)充分性
(2)有效性
(3)适宜性
信息系统审计中的一般控制审计包括信息安全技术控制审计和信息安全管理控制审计
2.审计流程
(1)计划
(2)现场工作和文件
(3)问题发现和验证
(4)开发解决方案
(5)报告起草和执行
(6)问题跟踪
3.内部控制
4.审计标准
6.3.2 审计技术控制
1.脆弱性测试
2.渗透测试
渗透测试是一种模拟真实攻击的测试行为
3.战争驾驶
4.其他漏洞类型
5.日志
6.合成交易
7.滥用用例测试
8.代码审查
9.接口测试
6.3.3 审计管理控制
1.账户管理
2.备份验证
3.灾难恢复和业务连续性
4.安全培训和安全意识培训
5.关键绩效和风险指标
(1)关键绩效指标(KPI)
(2)主要风险指标(KRIs)
6.3.4 审计报告
1.SAS 70
2.SOC